Les PDG du secteur automobile répondent à des questions difficiles sur les voitures et la protection de la vie privée... en quelque sorte
Par Jen Caltrider, Misha Rykov et Zoë MacDonald | 30 avril 2024
Mise à jour du 14 mai : La FTC a publié un billet de blog dans lequel elle met en garde les constructeurs de véhicules connectés pour « collecte et utilisation illégales » des données sensibles des consommateurs.
- They warned car-makers to “take note” of three actions they’ve taken recently against other companies for abusing their access to sensitive data by sharing it or using it for decision-making without consumers’ consent.
The Federal Trade Commission (FTC) is in charge of protecting US consumers from deceptive on unfair business practices. So if there’s any agency that can hold US car-makers accountable for their terrible privacy practices, it’s them! This is definitely a step in the right direction for cars and privacy.
Vous a-t-on déjà conseillé de ne pas répondre à la question que l’on vous a posée, mais de répondre à celle que vous aimeriez que l’on vous pose ? Eh bien, il semble que ce soit le cas pour certains dirigeants de constructeurs automobiles américains.
Revenons en arrière. L’année dernière, nous avons attiré l’attention sur l’automobile en déclarant qu’il s’agissait de la pire catégorie de produits que nous ayons jamais étudiée du point de vue de la protection de la vie privée. Bien que les informations que nous avons obtenues en lisant les politiques de confidentialité des constructeurs automobiles soient déplorables, nous étions davantage préoccupés par ce que ces politiques ignoraient. Nos recherches nous ont amené à nous poser de nombreuses questions ! Des questions que les constructeurs automobiles ont ignorées lorsque nous les avons posées. Nous avons donc été très heureux lorsque le sénateur américain Ed Markey a contacté les PDG des constructeurs automobiles pour leur poser les mêmes questions que nous, en soulignant que nos recherches avaient suscité des inquiétudes. Il a également promis de publier leurs réponses, et a tenu parole ! Nous avons lu ces 84 pages pour vous. Malheureusement, leurs réponses étaient toujours aussi vagues, incomplètes et douteuses. En voici les grandes lignes.
Nos recherches ont montré que de nombreux constructeurs automobiles déclarent être en mesure de vendre vos données personnelles. Mais le font-ils ? Absolument.
Les questions posées par le sénateur Markey sont les suivantes :
Votre entreprise vend-elle, transfère-t-elle, partage-t-elle ou exploite-t-elle d’une autre manière les données collectées à partir de ses véhicules à des tiers ? Dans l’affirmative, à quel montant les données ont-elles été vendues à des tiers par votre entreprise en 2022 ?
Sénateur américain Ed Markey
General Motors, l’un des plus grands constructeurs automobiles américains, a déclaré :
Si un utilisateur souscrit aux services connectés, GM est en mesure de partager les données collectées à partir des véhicules avec des tiers, comme indiqué dans notre politique de confidentialité relative aux services connectés aux États-Unis. Par exemple, les données peuvent être partagées pour aider les intervenants d’urgence à réagir plus rapidement et avec plus de précision, pour assurer la disponibilité des services intégrés au véhicule utilisés par le propriétaire, et lorsque le propriétaire autorise GM à le faire (par exemple en aidant les utilisateurs à optimiser leurs cycles de charge). Dans le cas des partages de données limités qui génèrent des bénéfices commerciaux directs, l’impact sur le chiffre d’affaires global de GM pour 2022 est jugé de minimis.
Omar A. Vargas, vice-président de General Motors, politique publique mondiale
Vous savez peut-être que GM a vendu des données relatives à la conduite de ses véhicules à des courtiers en données qui les ont utilisées pour établir des « scores de risque » à l’intention des compagnies d’assurance. Certains conducteurs n’ont découvert cette pratique que lorsque le montant de leur cotisation a explosé. Cela ne les a pas réjouis. En réalité, cette affaire a suscité une telle indignation parmi les conducteurs (et a donné lieu à un recours collectif !) que GM a dû s’engager à cesser ces pratiques (du moins en ce qui concerne la vente de ces données précises à ces courtiers en données).
Il est curieux de constater que GM ne mentionne nullement ses relations avec LexisNexis ou Verisk, les deux courtiers en données en question, dans sa réponse au sénateur (cela explique notre méfiance par rapport aux déclarations publiques des entreprises en matière de protection de la vie privée). GM omet également de préciser que le fait de « s’inscrire » pourrait impliquer qu’un concessionnaire le fasse en votre nom sans que vous ne le sachiez ou que vous n’y consentiez, et qu’il pourrait toucher une prime en contrepartie. De quoi s’inquiéter.
Au cas où vous vous poseriez la question, « de minimis » (en référence à l’impact déclaré sur le chiffre d’affaires de GM) signifie, pour ceux qui auraient cru qu’il s’agissait d’une faute de frappe, un montant faible ou insignifiant. Que représente un montant minime pour une entreprise pesant des milliards de dollars ? Il a été fait état d’un montant de l’ordre de « quelques millions ». Nous ne sommes pas sûrs de nous réjouir ou de déplorer le fait que GM gagne plus d’argent en vendant les données des conducteurs. Autant donner cher de notre vie privée !
La société Hyundai a déclaré :
Bluelink® propose Driving Score et l’assurance basée sur l’utilisation (UBI, Usage Based Insurance), gérée par Verisk Insurance Solutions. Pour les conducteurs ayant souscrit à Driving Score, certaines données relatives au véhicule sont transmises à Verisk, afin que la société puisse générer le Driving Score, qui n’est pas partagé par Hyundai avec des tierces parties autres que Verisk. Les conducteurs actuellement abonnés à Driving Score peuvent également choisir de recevoir séparément des offres et des informations sur les réductions et des offres concernant des assurances automobiles ou de demander des devis UBI auprès des assureurs participants.
Robert R. Hood, vice-président chargé des affaires gouvernementales, Hyundai Motor
Hyundai fait donc état d’une collaboration avec le courtier en données Verisk. Et tout comme GM, ils précisent que le programme est uniquement basé sur le consentement. Ils précisent également que les conducteurs qui ont choisi ce programme peuvent désactiver le partage de données avec Verisk via leur compte MyHyundai (au cas où quelqu’un aurait décidé d’y souscrire sans le vouloir). En ce qui concerne la contrepartie reçue en échange des données, « il se peut que Hyundai perçoive une commission par prospect pour les offres de réduction d’assurance envoyées aux conducteurs qui ont choisi de les recevoir et lorsqu’un conducteur demande un devis UBI à un assureur et autorise expressément Verisk à fournir ses données UBI à l’assureur ».
Dans le cadre de la possession d’un véhicule, Toyota ne vend (au sens des lois applicables en matière de protection de la vie privée, telles que le CCPA) les informations personnelles des utilisateurs que dans un seul cas de figure : au profit d’un tiers qui fournit un service d’abonnement à la radio par satellite, afin d’offrir aux utilisateurs un essai gratuit de ce même service et de mener des campagnes de marketing une fois l’essai terminé.
Stephen J. Ciccone, Vice-président du groupe, chargé des affaires gouvernementales
Toyota est le seul constructeur automobile à confirmer la « vente » d’informations personnelles de ses clients, nous en sommes arriver à un point où nous apprécions l’honnêteté de l’entreprise. Toyota affirme vendre ces informations à un service d’abonnement à la radio par satellite afin de pouvoir proposer une période d’essai gratuite et de commercialiser ensuite son service.
Les constructeurs automobiles partagent-ils les données personnelles des conducteurs avec les forces de l’ordre ?
Tous les constructeurs automobiles que nous avons sondés ont indiqué être en mesure de partager les données relatives aux conducteurs avec les forces de l’ordre dans certaines circonstances. C’est le cas de la plupart des entreprises qui détiennent vos données, mais ce que nous aimerions voir apparaître de manière explicite dans la politique de protection de la vie privée, ce sont des limites strictes à ce partage et un engagement à rejeter les demandes trop générales. Hélas, ces éléments sont absents de la plupart des politiques de confidentialité des constructeurs automobiles. Cette situation nous inquiète, car les voitures peuvent avoir accès à un très grand nombre d’informations personnelles, y compris votre géolocalisation précise et les données provenant des caméras et des microphones embarqués.
Les questions posées par le sénateur Markey sont les suivantes :
Votre société a-t-elle déjà fourni aux forces de l’ordre des informations personnelles collectées par un véhicule ? Dans l’affirmative, veuillez indiquer le nombre et le type de demandes présentées par les forces de l’ordre et le nombre de fois où votre société s’est conformée à ces demandes.
Sénateur américain Ed Markey
Voici ce que les constructeurs automobiles (qui ont pris la peine de répondre à la question) ont déclaré au sujet du nombre de demandes de données personnelles qu’ils reçoivent de la part des forces de l’ordre :
Volkswagen a détaillé le nombre de demandes par année. Le constructeur a indiqué en avoir reçu « moins de 20 » en 2021, « moins de 25 » en 2022 et « moins de 45 » en 2023. Cela signifie que les demandes des forces de l’ordre ont doublé au cours des trois dernières années. Intéressant ! Hyundai et Kia ont également communiqué le nombre total de demandes auxquelles elles ont répondu, soit respectivement 50 (86 %) et 25 (83 %). Honda déclare ne pas comptabiliser ces demandes, mais estime en recevoir environ une par mois. Tesla a indiqué qu’elle comptabilisait les demandes, mais a décidé de ne pas partager ces chiffres avec nous. C’est également la seule marque automobile à avoir déclaré d’emblée qu’elle était parfois amenée à contester ou à rejeter des demandes.
Vous vous souvenez peut-être que la politique de confidentialité de Hyundai stipule que la société peut répondre à une « demande informelle » de données de la part des forces de l’ordre ou des autorités publiques. Mais dans sa réponse au sénateur Markey, la société s’est montrée beaucoup plus précise, affirmant qu’elle ne fournira des données qu’en cas « d’urgence, de mandat de perquisition, de consentement du client et d’assignation à comparaître ». La plupart des réponses des constructeurs automobiles ont apporté des précisions plus rigoureuses ou plus spécifiques que celles que nous avions trouvées l’année dernière dans leurs politiques de confidentialité. Espérons que cela signifie que les constructeurs ont également modifié leurs politiques officielles. En ce qui concerne Hyundai en particulier, la ligne « demande informelle » semble avoir disparu de la dernière version de la politique de confidentialité, ce qui semble être un bon début !
Les politiques de confidentialité des constructeurs automobiles, qui contiennent des déclarations assez vagues concernant le partage d’informations avec les forces de l’ordre, ne précisent pas non plus si les conducteurs sont avertis lorsque leurs données sont partagées.
Les questions posées par le sénateur Markey sont les suivantes :
Votre société informe-t-elle le propriétaire du véhicule lorsqu’elle se conforme à une demande ?
Sénateur américain Ed Markey
Aucun des constructeurs automobiles ayant répondu à cette question n’a déclaré avoir pour principe d’informer les conducteurs. Hyundai fait figure d’exception en déclarant : « Hyundai se réserve le droit d’informer ses clients en cas de conformité à de telles demandes », à moins que la notification ne soit « explicitement interdite par la procédure légale elle-même ». Voilà toute l’étendue de la bienveillance dans ce secteur, ce n’est pas glorieux.
La plupart des autres constructeurs automobiles ont affirmé ne pas être autorisés à informer les conducteurs. Par exemple, Nissan a déclaré que « lorsque Nissan se conforme à [une] procédure obligatoire valide visant à fournir des données sur les véhicules des clients, la loi ou une décision de justice l’empêche d’informer un client de ces demandes ». BMW est allé jusqu’à déclarer que la société n’informerait pas le propriétaire du véhicule à moins que les forces de l’ordre ne lui demandent de le faire : « Si les forces de l’ordre nous demandent d’informer le propriétaire du véhicule lorsque nous nous conformons à une demande de partage de données, nous le ferons ». Il semble peu probable que cela se produise puisque GM a déclaré que « les forces de l’ordre ordonnent régulièrement à GM de ne pas informer le propriétaire du véhicule ».
L’année dernière, lors de notre enquête les seules marques dont nous pouvions affirmer qu’elles permettaient aux clients de supprimer leurs informations personnelles étaient deux constructeurs automobiles européens (Renault et Dacia) qui doivent accorder ce droit aux conducteurs pour se conformer au RGPD, la législation européenne en matière de protection de la vie privée.
Les questions posées par le sénateur Markey sont les suivantes :
Tous les conducteurs, quel que soit leur lieu de résidence, peuvent-ils demander la suppression de leurs données ? Dans l’affirmative, veuillez décrire la procédure permettant à un utilisateur de supprimer ses données. Dans le cas contraire, pour quelles raisons ?
Sénateur américain Ed Markey
Toyota, Subaru, BMW, Tesla et Ford ont déclaré que tous les conducteurs américains bénéficient de ce droit ou que ce sera le cas prochainement. Une bonne nouvelle ! Nous espérons voir figurer cet engagement dans les politiques de confidentialité de ces sociétés. Jusqu’à présent, Toyota est la seule entreprise à avoir formalisé cette promesse en modifiant sa politique de confidentialité.
Mais d’autres constructeurs automobiles sont revenus sur leur déclaration, affirmant qu’il n’était pas possible de s’engager à effacer les données de leurs clients ou qu’ils attendaient qu’une loi les y oblige. Nous en doutons un peu. Et voici une idée : les constructeurs automobiles sont officiellement appelés à se joindre à notre lutte en faveur d’une législation fédérale sur la protection de la vie privée aux États-Unis. En attendant, pourquoi ne pas appliquer la législation nationale la plus stricte en matière de protection de la vie privée (généralement, la loi californienne sur la protection de la vie privée des consommateurs) à l’ensemble des États américains ? De cette manière, vous n’aurez pas à recourir à une « norme arbitraire » en attendant, comme Nissan s’en inquiète. Il est temps de passer à l’action !
La majorité (68 %) des constructeurs automobiles que nous avons étudiés se sont vu attribuer un avertissement pour avoir subi des pertes de données, des fuites ou des piratages qui ont menacé la vie privée de leurs clients au cours des trois dernières années seulement.
Les questions posées par le sénateur Markey sont les suivantes :
Au cours des dix dernières années, votre société a-t-elle été victime d’une fuite, d’une infraction ou d’un piratage compromettant
les données des utilisateurs ? Dans l’affirmative, veuillez décrire l’événement en détail, en précisant la nature du système qui a été touché, le type et le volume des données concernées, et en indiquant si votre société a informé les utilisateurs concernés et de quelle manière cela a été fait.
Sénateur américain Ed Markey
Volkswagen est le seul constructeur automobile à avoir répondu « oui ». Et là encore, la société n’a pas raconté la totalité de l’histoire : elle a reconnu une infraction majeure en 2021, mais a omis de mentionner trois autres incidents liés à la sécurité et à la protection de la vie privée survenus depuis 2020.
Même Kia, qui a dû modifier huit millions de voitures en raison d’une faille de sécurité qui les rendait vulnérables au piratage, ce qui a entraîné des centaines de vols, 14 accidents et huit décès, n’a fait référence à la cybersécurité que pour décrire les « mesures importantes » prises pour « préserver la confidentialité, l’intégrité et la disponibilité des données des véhicules ». Alors, oui. Nous ne sommes absolument pas convaincus de la sincérité des réponses fournies par ces constructeurs automobiles (pas plus que le sénateur Markey et son équipe).
Il semble que nous ne sommes pas près d’obtenir les réponses que nous espérions de la part des dirigeants des constructeurs automobiles. Il est toutefois amusant (mais pas de quoi se fendre la poire) que tant de constructeurs automobiles aient répondu aux questions du sénateur Markey en suggérant de chercher les réponses dans leurs politiques de confidentialité... Dans la mesure où c’est la lecture de ces politiques de confidentialité qui a soulevé ces questions en premier lieu. BMW, Mazda, Mercedes-Benz, Stellantis se voient attribuer des mauvais points (et, dans une moindre mesure, Ford, Kia, Subaru et Tesla), car ils n’ont pas répondu directement à chacune des questions posées. Si nous devions les noter comme des devoirs, ils obtiendraient tous la mention « Incomplet ».
La bonne nouvelle, c’est que nous n’avons pas besoin d’attendre que les constructeurs automobiles soient honnêtes avec nous ou qu’ils prennent eux-mêmes les bonnes décisions. Depuis que nous avons tiré la sonnette d’alarme sur les problèmes de confidentialité des automobiles en septembre dernier, le vent de changement souffle déjà :
- Toyota et Lexus accordent désormais à tous les utilisateurs américains le droit de supprimer leurs données personnelles.
- Grâce à la pression du public, GM (qui comprend Chevrolet, Buick, GMC et Cadillac) a annoncé qu’elle cesserait de vendre certaines données OnStar aux courtiers en données LexisNexis et Verisk.
- Aux États-Unis, l’administration Bidden-Harris se penche sur la question de la confidentialité des voitures connectées pour des raisons de sécurité nationale.
- La commission fédérale des communications (FCC) propose d’appliquer la loi américaine « Safe Connections Act » aux voitures, ce qui rendrait la tâche plus difficile aux auteurs de violences domestiques qui traquent les victimes en utilisant les systèmes de localisation des voitures (l’un de nos pires cauchemars en matière de protection de la vie privée).
- Les législateurs californiens ont également proposé un projet de loi qui obligerait les constructeurs automobiles à bloquer l’accès à distance des agresseurs aux voitures lorsque celui-ci permet de « traquer, harceler, surveiller et intimider les victimes ».
- Les sénateurs américains Markey et Wyden appellent la FTC à prendre des mesures contre Toyota, Nissan, Subaru, Volkswagen, BMW, Mazda, Mercedes-Benz et Kia, et leurs dirigeants, pour avoir partagé les données de localisation des conducteurs avec des agences gouvernementales sans autorisation, en infraction avec les « principes de protection de la vie privée » du secteur.
Toutefois, même les réponses peu convaincantes des constructeurs automobiles sont utiles pour faire évoluer la situation. Étant donné que les réponses des constructeurs automobiles n’ont guère rassuré le sénateur Markey et qu’elles « ne tiennent pas compte des risques réels que leurs pratiques engendrent pour la protection de la vie privée », il invite la commission fédérale du commerce (FTC, Federal Trade Commission), chargée de protéger les droits des consommateurs, à enquêter sur les pratiques de tous les constructeurs automobiles américains en matière de protection de la vie privée. Les législateurs américains ne sont pas les seuls à s’intéresser à la question. Des membres du Parlement européen se sont appuyés sur nos recherches pour signaler à la Commission européenne, à trois reprises, les lacunes en matière de protection de la vie privée des conducteurs. Un autre député européen a récemment suggéré que des lois supplémentaires étaient nécessaires pour empêcher que les voitures ne soient utilisées à mauvais escient pour espionner les conducteurs, en citant à nouveau nos recherches. Nous sommes ravis de le constater ! Vous pouvez nous aider à faire avancer les choses.
Jen Caltrider
Lors d’une période de relative improvisation pendant laquelle elle travaillait sur son diplôme de Master en Intelligence Artificielle, Jen a découvert qu’elle était davantage douée pour raconter des histoires que pour écrire du code. Cette prise de conscience a par la suite donné lieu à une carrière intéressante en tant que journaliste spécialisée dans les questions technologiques chez CNN. Mais sa véritable passion dans la vie a toujours été de laisser le monde un peu meilleur qu’elle ne l’avait trouvé. C’est pourquoi elle a créé et dirige encore aujourd’hui l’initiative *Confidentialité non incluse de Mozilla, pour défendre le droit à la vie privée du plus grand nombre.
Misha Rykov
Originaire de Kiev et aujourd’hui basé à Berlin, Misha a travaillé dans de grandes entreprises technologiques et de conseil en sécurité avant de rejoindre les équipes en charge des questions de confidentialité chez Mozilla. Il adore les enquêtes journalistiques et déteste par-dessus tout les politiques de confidentialité confuses. Misha prône un cadre réglementaire plus fort et plus intelligent en matière de confidentialité, ainsi qu’un Internet plus sûr.
Zoë MacDonald
Zoë est rédactrice et stratège spécialisée dans le numérique à Toronto, au Canada. Avant que sa passion pour les droits numériques ne la conduise chez Mozilla et plus particulièrement dans l’équipe de *Confidentialité non incluse, Zoë écrivait sur la cybersécurité et le commerce électronique. Lorsqu’elle n’est pas occupée à enquêter sur des sujets de confidentialité dans le cadre de son travail, elle surveille étroitement les appareils intelligents chez elle.
Jen Caltrider, Misha Rykov et Zoë MacDonald
Jen Caltrider, Misha Rykov et Zoë MacDonald
Jen Caltrider, Misha Rykov et Zoë MacDonald
